ict-Business
02/10/2012 di Redazione

Falla di sicurezza in Twitter, account in vendita

Gli account del social network sono potenzialmente a rischio a causa di una falla che consente di scagliare attacchi da indirizzi IP differenti senza che il sistema li blocchi. È successo sabato a un utente: il suo account era stato violato ed era in vend

immagine.jpg

Una falla nella sicurezza di Twitter mette a rischio gli account. L'ha scoperto Daniel Dennis Jones, un utente che sabato si è accorto che il suo account @blanket era stato compromesso: la password era stata cambiata a sua insaputa, l'account era in vendita per cento dollari e al suo posto ce n'era uno @FuckMyAssHoleLO.

Allarme sicurezza per Twitter: c'è una falla nel sistema di autenticazione

Jones ha indagato per capire cosa fosse successo e ha pubblicato un lungo post sul suo blog in cui spiega che la colpa di quanto accaduto è da ricondurre a una falla nel sistema di sicurezza del social network, che si limita a restringere i tentativi di login legati allo stesso indirizzo IP. Un hacker che ha la possibilità di sfruttare più indirizzi IP può sferrare un attacco brute force e cercare di forzare l'accesso agli account con tentativi virtualmente illimitati.

Questo non accadrebbe, accusa l'utente, se Twitter bloccasse l'accesso dopo un determinato numero di tentativi, o se fosse previsto un sistema di autenticazione in due step come per esempio quello implementato nei servizi di Google.

La conclusione di Jones è che l'hacker che ha preso di mira il suo account ha "usato un programma che tenta ripetutamente di effettuare il login con password comuni" fino a quando non è riuscito a violare l'account. A quel punto ha messo in vendita l'account sul sito ForumKorner, da cui Jones è riuscito poi a riaverlo.

La brutta avventura insomma si è risolta bene, ma il caso ha alzato un polverone sul tema della sicurezza dei social network, in cui sono puntualmente intervenuti gli esperti in materia. Jeremiah Grossman, CTO e co-fondatore dell'azienda Whitehat specializzata in sicurezza, ha spiegato a Cnet che il regime di sicurezza di Twitter probabilmente non è molto diverso da quello di molti altri siti. Una valutazione allarmante, a cui c'è solo un rimedio: "il modo migliore per difendersi è quello di scegliere una password davvero difficile da indovinare, che non si azzecchi nemmeno con un milione di tentativi" ha concluso Grossman.


ARTICOLI CORRELATI